Kroll:惡意軟件為香港網絡事故的首要元凶

香港企業亟需加快防止網絡事故的步伐。據風險和財務諮詢解決方案獨立供應商德安華(Kroll)近日發表的《亞太區網絡安全事故應變報告》發現，亞太區和香港企業已開始體驗到網絡攻擊對公司的影響，但普遍並未制定合適的事故應變計劃，亦未有建立恆常諮詢網絡安全專家的機制。

報告內有關香港的重點發現

許多香港企業最擔憂網絡安全事故會引致資料外洩(68%)、業務受阻(54%)和聲譽受損(57%)。而曾經深受網絡安全事故影響的企業，公認實際影響最常為資料外洩(40%)，其次是業務受阻(30%)，以及知識產權被盜和金錢損失(同為23%)。

香港有43%受訪企業表示曾遭遇網絡安全事故，相較於最多機構受到網絡攻擊的馬來西亞(76%)，及亞太區的平均值(59%)，為該區各市場最低。

惡意軟件為香港最普遍的網絡事故成因(30%)，其次是分散式阻斷服務攻擊DDoS(19%_及網絡釣魚(14%)。惡意軟件也同時是整個亞太地區網絡安全事故的首要元凶，佔所有呈報事故的23%。

在香港，企業在應對網絡安全威脅時會優先考慮五大關鍵措施，包括購置安全工具硬件和軟件(74%)、員工培訓及網絡監察(均為70%)，及遷移資料至雲端(63%)和僱用網絡安全專家(62%)。

Kroll網絡風險管理副董事總經理林永雄表示：「香港的網絡安全事故數量為亞太區中最少，主要的原因可能是漏報。 在某些情況下，由於網絡安全措施的成熟度不足，企業對事故發生缺乏意識，而本港目前未有法例要求機構遭受網絡攻擊時須作出調查及呈報，對網絡安全事故的定義未有共識，也可能是香港所呈報事故數目較其他市場少的箇中原因。除了大型企業，今年我們觀察到更多的中小企成為網絡攻擊的目標，這可能與中小企一般公司內部沒有網絡安全專家有關。香港企業首先需要意識到網絡威脅的嚴重性，並聘請專業人員協助他們善用有限的預算，以制定有效的網絡安全計劃及經測試和驗證的事故應變指引，從而提高其網絡韌性。」

Kroll網絡風險管理高級副總裁林志強表示：「儘管與網絡風險相關的保險費用大幅上升，某些案例的保費甚至增加了兩倍，但我們相信網絡保險對企業的未來發展仍然至關重要。我們觀察到網絡保險的免賠額水平也大幅提高，並增添了許多附加條件，例如與勒索軟件相關的賠償限額。一般情況下，保險公司還會要求公司的管控措施在投保前必須到位，例如實施多重要素驗證、部署端點偵測與回應（EDR）或託管式偵測與回應(MDR)，以及使用虛擬專用網絡等，方可接受。」

整體報告的亮點

• 亞太區36%的機構在應對網絡安全事故時並未有事故應變指引、計劃或相關政策； 38%的機構沒有委任資料保護主任或建立恆常諮詢網絡安全專家的機制。
• 亞太區企業面對網絡安全事故時，資料外洩(51%)和業務受阻(49%)對企業的影響最大。
• 為了應對網絡安全威脅，大多數企業都計劃增加預算(64%)，並轉移至雲端(65%)。

Kroll亞太區網絡風險管理董事總經理鄭國誠表示：「我很高興看到企業在疫情期間將焦點放在業務的營運的持續性和穩定性上，不過我們仍然建議企業考慮擴大對網絡專業知識的投資，以網絡安全事故一定會發生，只是不知『何時』，而非 『會否』發生的僥倖心態做好準備。透過謹慎投資緩解網絡事故發生的安全措施，及聘用值得信賴的網絡安全顧問，亞太區的企業將可大大減少網絡攻擊對其業務的影響，更快地從網絡攻擊中恢復。畢竟，最壞的情況是身在網絡攻擊時才著手開始準備應對計劃。」

各個市場重點比較

• 已制定網絡安全事故應變計劃的澳洲企業比率為各個市場最低，相反香港為最高。
• 馬來西亞和菲律賓遭受最頻繁的網絡攻擊，香港則最少。
• 資料外洩是區內不同市場的企業廣泛擔憂的問題，但印尼的企業較其他市場更擔心網絡事故構成的聲譽損害。新加坡企業則主要擔心業務受阻問題。

報告由Kroll編撰，委託Opinium調查了700名資訊科技、風險、保安和法律專業領域的決策者，他們平均分佈在七個亞太區市場，包括香港、新加坡、馬來西亞、菲律賓、澳洲、印尼和日本。